Basishandbuch für Computeruntersuchungen für Windows
Übersicht
Veröffentlicht: 11. Jan 2007
Internetkonnektivität und technischer Fortschritt machen Computer und Computernetzwerke für kriminelle Handlungen zugänglich, wie z. B. nicht autorisiertes Eindringen, Finanzbetrug, Identitätsdiebstahl und Diebstahl geistigen Eigentums. Computer können für Angriffe auf Computernetzwerke und zur Zerstörung von Daten verwendet werden. Per E-Mail kann der Benutzer Leute belästigen, sexuell eindeutige Bilder übertragen und andere böswillige Handlungen begehen. Solche Handlungen setzen Unternehmen ethischen, rechtlichen und finanziellen Risiken aus und zwingen sie oft, interne Computeruntersuchungen durchzuführen.
Dieses Handbuch behandelt Prozesse und Tools zur Verwendung bei firmeninternen Computeruntersuchungen. Es stellt ein mehrphasiges Modell vor, das auf anerkannten Verfahren von Computeruntersuchungsexperten aufbaut. Es enthält auch ein angewandtes Szenariobeispiel für eine firmeninterne Untersuchung in einer Umgebung, zu der Microsoft® Windows®-basierte Computer gehören. Die Untersuchung verwendet Windows Sysinternals-Tools (erweiterte Dienstprogramme, die zur Untersuchung Windows-basierter Computer verwendet werden können) sowie allgemein verfügbare Windows-Befehle und -Tools.
Einige der Richtlinien und Verfahren, die bei Untersuchungen infolge von Computersicherheitsvorfällen gelten, existieren möglicherweise auch in Notfallwiederherstellungsplänen. Die Erläuterung solcher Pläne würde den Rahmen dieses Handbuchs sprengen; es ist jedoch für Unternehmen wichtig, Verfahren aufzustellen, die in Notfallsituationen verwendet werden können. Unternehmen müssen auch Sicherheitsrisiken erkennen und bewältigen, wo immer dies möglich ist. Weitere Informationen finden Sie im Leitfaden zum Sicherheitsrisikomanagement.
Auf dieser Seite
Computeruntersuchungsmodell
Anfänglicher Entscheidungsfindungsprozess
Kapitelzusammenfassung
Zielgruppe
Warnungen und Haftungsausschlüsse
Verweise und Dank
Formatierungskonventionen
Support und Feedback
Computeruntersuchungsmodell
Nach Warren G. Kruse II und Jay G. Heiser, den Autoren von Computer Forensics: Incident Response Essentials („Computerforensik: Wesentliche Grundsätze für die Antwort auf Vorfälle“), ist Computerforensik „die Sicherung, Identifizierung, Extrahierung, Dokumentation und Interpretation von Computermedien zur Beweis- bzw. Ursachenanalyse“. Das Modell der Computeruntersuchung in der folgenden Abbildung bringt die verschiedenen Elemente der Computerforensik in einen logischen Ablauf.
.gif "Computeruntersuchungsmodell")
Bei der Arbeit mit digitalen Beweismitteln sind die vier Untersuchungsphasen und begleitenden Prozesse in der Abbildung anzuwenden. Die Phasen können folgendermaßen zusammengefasst werden:
Bewertung der Situation. Analysieren Sie den Umfang der Untersuchung und die zu ergreifenden Maßnahmen.
Sammeln der Daten. Erfassen, schützen und sichern Sie die ursprünglichen Beweismittel.
Analysieren der Daten. Untersuchen Sie den digitalen Beweis und bringen Sie ihn mit wichtigen Ereignissen in Verbindung, die Ihnen helfen, einen Sachverhalt herzustellen.
Erstellen eines Untersuchungsberichts. Erfassen Sie gesammelte Informationen, bringen Sie diese in ein System und schreiben Sie den Abschlussbericht.
Ausführliche Informationen zu jeder einzelnen Phase finden sich in den Kapiteln dieses Handbuch.
Anfänglicher Entscheidungsfindungsprozess
Bevor Sie mit jeder einzelnen der allgemeinen Untersuchungsphasen beginnen, müssen Sie den anfänglichen Entscheidungsfindungsprozess anwenden, der in der folgenden Abbildung gezeigt wird.
.gif "Anfänglicher Entscheidungsfindungsprozess")
Sie müssen sich entscheiden, ob Sie mit der Hilfe von Rechtsberatern eine Strafverfolgung einleiten wollen oder nicht. Wenn Sie feststellen, dass eine Strafverfolgung notwendig ist, müssen Sie die interne Untersuchung fortsetzen, es sei denn, Justizbeamte empfehlen Ihnen ein anderes Vorgehen. Es kann sein, dass keine gerichtlichen Schritte zur Unterstützung der Untersuchung des Vorfalls zur Verfügung stehen. Dann müssen Sie den Vorfall handhaben und die Untersuchung für eine spätere Vorlage bei Gericht weiterführen.
Je nach Art des untersuchten Vorfalls besteht das Hauptanliegen darin, weiteren Schaden am Unternehmen durch die Person(en) zu verhindern, durch die der Vorfall verursacht wurde. Die Untersuchung ist wichtig, der Schutz des Unternehmens hat jedoch Vorrang, es sei denn, die nationale Sicherheit ist betroffen.
Wenn keine gerichtlichen Schritte eingeleitet werden, verfügt Ihr Unternehmen möglicherweise über Standardverfahren und -richtlinien, wie der Untersuchungsprozess zu führen ist. Siehe Abschnitt „Anzeigen von Computerkriminalität“ im Anhang: Ressourcen dieses Handbuchs, wenn es um Verbrechen geht, die für die Strafverfolgung angezeigt werden müssen.
Kapitelzusammenfassung
Dieses Handbuch besteht aus fünf Kapiteln und einem Anhang, die in der folgenden Liste kurz beschrieben sind. Die ersten vier Kapitel bieten Informationen zu den vier Phasen des firmeninternen Untersuchungsprozesses:
Kapitel 1: Bewerten der Situation erläutert, wie eine eingehende Beurteilung der Lage durchzuführen und die firmeninterne Untersuchung vorzubereiten ist.
Kapitel 2: Sammeln der Daten gibt Anleitung zur Erfassung digitaler Beweise.
Kapitel 3: Analysieren der Daten untersucht die Standardverfahren der Beweisanalyse.
Kapitel 4: Erstellen eines Untersuchungsberichts erläutert, wie der Ergebnisbericht der Untersuchung zu schreiben ist.
Kapitel 5: Angewandtes Szenariobeispiel beschreibt ein fiktives Szenario, das einen nicht autorisierten Zugriff auf vertrauliche Informationen darstellt.
Anhang: Ressourcen enthält Informationen für die Vorbereitung einer Computeruntersuchung, Kontaktinformationen für die Anzeige von Computerverbrechen und für Schulungen zur Computeruntersuchung, Arbeitsblätter zur Verwendung bei Computeruntersuchungen und Listen bestimmter Computeruntersuchungstools.
Zielgruppe
Dieses Handbuch richtet sich an IT-Fachleute in den Vereinigten Staaten, die ein umfassendes Grundwissen über Computeruntersuchungen brauchen, einschließlich vieler Verfahren, die bei solchen Untersuchungen und in Protokollen für die Meldung von Vorfällen verwendet werden können.
Warnungen und Haftungsausschlüsse
Diese Anleitung stellt keine Rechtsberatung dar und ist kein Ersatz für einzelfallbezogene Rechts- und sonstige Beratung durch Rechtsberater. Fragen Sie immer Ihren Rechtsberater, bevor Sie sich entscheiden, irgendeines der beschriebenen Verfahren anzuwenden. Die in diesem Handbuch beschriebenen Tools und Technologien sind zum Zeitpunkt seiner Veröffentlichung aktuell und können sich in Zukunft ändern.
Achten Sie unbedingt darauf, dass gesetzliche Einschränkungen Sie daran hindern können, diese Verfahren zu implementieren. So gibt es z. B. in den Vereinigten Staaten viele Gesetze über die Rechte von Menschen, die gesetzwidriger Handlungen verdächtigt werden. Sofern nicht in den vorhandenen, vom Unternehmen aufgestellten Richtlinien und Verfahren speziell auf gesetzliche Einschränkungen verwiesen wird, ist es wichtig, dass Sie während der ganzen firmeninternen Untersuchung rechtsverbindliche schriftliche Genehmigungen von Rechtsberatern, Mitgliedern der Geschäftsleitung und Schlüsselinteressenvertretern einholen.
.gif "Dd443672.note(de-de,TechNet.10).gif")
Hinweis:
Dieses Handbuch enthält keine Informationen zum Erstellen von Richtlinien und Verfahren für die Reaktion auf Vorfälle, keine Anleitung zu einem bestimmten Datenabbilderstellungsprodukt, zum Aufbau eines Forensiklabors oder zu Computeruntersuchungen in Nicht-Windows-Umgebungen. Informationen zum Erstellen von Richtlinien und Verfahren für die Reaktion auf Vorfälle finden Sie auf der Website Microsoft Operations Framework (MOF).
Verweise und Dank
Die Informationen in diesem Handbuch beruhen auf Informationen, die von anerkannten Industriefachleuten und bewährten Leitfäden stammen, einschließlich folgender Veröffentlichungen:
Forensic Examination of Digital Evidence: A Guide for Law Enforcement („Forensische Untersuchung digitalen Beweismaterials: Ein Handbuch zur Strafverfolgung“), herausgegeben vom National Institute of Justice, einer Geschäftsstelle des Justizministeriums der USA.
Guide to Integrating Forensic Techniques into Incident Response (Handbuch zur Einbeziehung forensischer Verfahren in die Reaktion auf Vorfälle), ein vom National Institute of Standards and Technology herausgegebenes PDF-Dokument.
"RFC3227 - Guidelines for Evidence Collection and Archiving (Richtlinien für Beweissammlung und -archivierung) von D. Brezinski und T. Killalea.
Formatierungskonventionen
Dieses Handbuch verwendet die in der folgenden Tabelle beschriebenen Formatierungskonventionen.
Element |
Verwendung |
|---|---|
Fettschrift |
Kennzeichnet Zeichen, die genau wie gezeigt eingegeben werden, einschließlich Befehle, Switches und Dateinamen. Auch Elemente der Benutzeroberfläche erscheinen in Fettschrift. |
Kursivschrift |
Titel von Büchern und anderen wichtigen Veröffentlichungen erscheinen in Kursivschrift. |
<Kursiv> |
Platzhalter in Kursivschrift und spitzen Klammern <Kursiv> repräsentieren Variablen. |
Monospace font |
Kennzeichnet Code- und Skriptbeispiele. |
Hinweis / Note |
Hinweis auf zusätzliche Informationen |
Wichtig / Important |
Hinweis auf wichtige zusätzliche Informationen. |
Support und Feedback
Das SASC-Team (Solution Accelerators – Security and Compliance ) würde sich über Ihre Meinung zu diesem und anderen Solution Accelerators freuen. Bitte senden Sie Kommentare und Feedback an secwish@microsoft.com. Wir freuen uns darauf, von Ihnen zu hören.
Solution Accelerators stellen ausführliche Anleitung und Automatisierung für produktübergreifende Integration bereit. Sie stellen bewährte Tools und Inhalte vor, sodass Sie Informationstechnologie verlässlich planen, erstellen, bereitstellen und bedienen können. Um das große Sortiment von Solution Accelerators oder zusätzliche Informationen anzuzeigen, besuchen Sie die Seite Solution Accelerators auf Microsoft TechNet.
In diesem Beitrag
- Übersicht
- Kapitel 1: Bewerten der Situation
- Kapitel 2: Sammeln der Daten
- Kapitel 3: Analysieren der Daten
- Kapitel 4: Erstellen eines Untersuchungsberichts
- Kapitel 5: Angewandtes Szenariobeispiel
- Anhang: Ressourcen
- Danksagung
Download (engl.)
Laden Sie das Basishandbuch für Computeruntersuchungen für Windows herunter.
Update Notification (engl.)
Melden Sie sich an, um Informationen über Aktualisierungen und neue Veröffentlichungen zu erhalten.
Feedback (engl.)
Senden Sie uns Ihre Kommentare oder Vorschläge.
1 von 8 .gif "Dd443672.pageRight(de-de,TechNet.10).gif") |